【漏洞通告】32位Redis 遠程代碼執行漏洞（CVE-2021-32761）

2021年7月22日，阿里云應急響應中心監測到Redis官方發布公告，披露了CVE-2021-32761 Redis（32位）遠程代碼執行漏洞。

01

漏洞描述

Redis是世界范圍內應用廣泛的內存型高速鍵值對數據庫。2021年7月21日Redis官方發布公告，披露了CVE-2021-32761 32位Redis遠程代碼執行漏洞。在32位Redis中，攻擊者在Redis存在未授權訪問的情況下可利用*BIT*命令與proto-max-bulk-len配置參數可能造成整形溢出，最終導致遠程代碼執行。目前尚未有相關腳本流出，且漏洞僅影響32位Redis，阿里云應急響應中心提醒 Redis 用戶盡快采取安全措施阻止漏洞攻擊。 

02

漏洞評級

CVE-2021-32761 Redis（32位）遠程代碼執行漏洞 高危 

漏洞細節漏洞PoC漏洞EXP在野利用未公開

未公開

未公開

03

影響版本

Redis >2.2 且 < 5.0.13 

Redis >2.2 且 < 6.0.15 

Redis >2.2 且 < 6.2.5

04

安全版本

Redis 5.0.13 

Redis 6.0.15

Redis 6.2.5

05

安全建議

1、根據影響及其安全版本排查并升級到安全版本，或使用64位Redis

2、若暫無法升級，可通過啟用Redis身份認證，禁止未授權用戶調用*BIT*命令以及CONFIG SET指令